在動蕩的地緣政治環境中,組織使用數字化轉型計劃來提高和保持生產力。公司希望 IT 增加創新並提高整個業務流程的效率。與此同時,IT 領導者承受著越來越大的壓力,要求他們全面了解其基礎設施。這種壓力源於需要最大限度地減少或減輕可能直接影響客戶、股東和員工數據的任何中斷的風險。
如果不清楚您今天的技術堆棧所處的位置,這些未來目標將永遠存在遙不可及。無論您是第一次承擔 IT 責任的全新 CIO,還是擁有多年經驗的經驗豐富的 CIO,能夠在大局和細微差別之間游刃有餘都是一項必須培養的技能。
從頭開始
資產管理是任何組織信息安全政策的基礎。這聽起來很簡單-擁有公司在其環境中擁有的所有 IT 資產的完整、準確和及時的列表。但是為什麼在實踐中很難呢?為什麼 CIO 應該關心這種程度的細節?
這個問題的答案是,如果沒有這種細節,您和您的部門將永遠落後一步。全面、最新且準確的資產管理 (AM) 計劃是您團隊取得成功的關鍵。沒有它,您的部門將難以推動他們所針對的業務影響,並且您將受到衡量。儘管他們可能會嘗試,但如果沒有 AM,IT 團隊將難以有效運作。
準確了解您組織的整個 IT 資產可以讓安全和 IT 團隊採取必要的步驟來減輕安全威脅。它允許更快地識別錯誤配置、漏洞和報廢硬件。它還允許確定優先級,最終讓員工有時間專注於可能影響公司的最緊迫的問題。
向內看……
建立全面的資產清單似乎是每個組織現在都有的明顯基準,但是 研究表明,69% 的組織都經歷過針對“未知、未管理或管理不善的面向互聯網的資產”的攻擊。如果您不知道公司網絡上有哪些資產,就無法保護它們。
如果您的團隊無法就此向您報告,那麼您就無法有效地了解這些資產有多好這些安全風險正在得到處理。創建一個全面的組織資產視圖無疑會發現一些隱藏的秘密——比如影子 IT 實施——這些秘密可能已經存在多年。
關鍵目標是不要將庫存視為事後的想法,而是將其作為第一個構建塊。由於與下一個大項目或惡意軟件威脅爭奪注意力,這項工作很容易被降級或忽略。相反,您必須強調,首先把基礎做好,這樣才能更好地專注於其他重要項目和可能出現的緊迫問題。
一旦建立了資產目錄,您就必須弄清楚如何保持該程序是最新的。例如,根據這些資產對業務的重要性對其進行分類可確保它們得到適當的關注。這將使決定如何管理和保護它們變得更加容易,並為您提供有關您的團隊在安全方面做得如何的更好數據。
例如,被不良行為者利用的漏洞幾乎總是開始與組織環境中的端點。當這些設備上安裝了舊的或過時的軟件時,它們就代表了攻擊者可以瞄準的“唾手可得的果實”。沒有觸手可及的全面可見性,幾乎不可能跟上不斷增長的威脅——組織只能在清楚地了解不斷變化的基礎設施後才能緩解。
重新獲得對終端的控制-服務組件
隨著軟件和硬件隨著時間的推移老化,舊版本逐漸被淘汰。準確了解 IT 資產後,您可以將其與每個項目的生命週期對應起來,以確保硬件和軟件繼續得到原始製造商的支持,並在漏洞和補丁方面得到主動管理。服務終止組件可能會帶來重大的安全風險,應尋求主動管理來更新或更換它們以減少攻擊面。
但不幸的是,產品或服務壽命沒有行業標準週期,或製造商如何報告這些。但是有一些工具可以映射您庫存中流行資產的已知生命週期信息以集中信息。
作為 CIO,隨著時間的推移更換過時的軟件是必要的,但也必須平衡成本以及可以提供哪些新服務。對於某些項目,可以減輕這些風險並使用軟件更長時間。對於其他人來說,總有一天需要進行更換。另一種方法是讓該軟件繼續運行,這可能會導致未來的利用。
規範化、分類和優先化
在任何企業組織中,都可能存在對數以萬計的資產進行識別和管理。這就是安全工具可以幫助您的團隊進行大規模管理和自動化流程以減少重複性任務的手動干預的地方。將您的資產清單與生命週期終止和服務終止信息相結合,您可以在一個管理窗格中查看所有相關信息,而不是團隊手動搜索信息。
早期的分類當您圍繞特定的低風險資產構建商定的規則集以使用自動化減輕團隊的工作量時,assets 非常有用。這使他們能夠專注於更高價值的任務。
獲取整體視圖
資產管理可能很複雜並且注重細節。隨著您擴展基礎架構並使用更多平台來滿足您的業務需求,很難跟上潛在風險。
提出這樣的問題:“從黑客的角度來看,我的組織是什麼樣的? “讓您全面了解整個 IT 資產。這種掃描任何面向互聯網的設備的做法有助於了解攻擊者會看到什麼,最重要的是,他們可能會如何利用任何漏洞。攻擊面管理取決於強大的資產管理方法,並通過評估所有這些已識別資產的安全級別,使這種做法更進一步。與資產管理一樣,這應該是一個持續發現、分類和評估的過程。
對於 CIO 而言,攻擊面管理等方法可以幫助構建業務風險圖。然後可以將其翻譯成領導團隊可以理解的術語。談論風險更有幫助——也更有可能被傾聽——因此可以用來證明你的團隊所做的工作是合理的。
深入了解所管理的每項 IT 資產您的控件可能看起來過於詳細。然而,這應該是每個 CIO 的首要任務,因為如果沒有這個,未來的基礎就會不平坦。投資於能讓您的組織更好地理解、跟踪和保護資產的解決方案對於您的成功至關重要。
圖片來源: deepadesigns/Shutterstock
Isphreet Singh 是首席信息官Qualys 的官員,負責公司 IT 基礎設施和運營、企業應用程序和架構、數據集成和 IT 安全的全球事務。 p>